Informace o knihách
a knihovnách
Informace o knihách
Dne 25. 5. 2018 nabylo účinnosti Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen Nařízení).
Nařízení je pro všechny členské státy závazné. A protože Česká republika před jeho účinností (tedy dobou, kdy je nutné se předpisem řídit) nepřijala zákon, který by daná pravidla v Nařízení specifikoval pro české prostředí, musíme se aktuálně místo českým zákonem řídit tím, co uvádí toto Nařízení. V opačném případě se vystavujeme stanoveným sankcím, které jsou v případě GDPR velmi vysoké a pro řadu organizací v podstatě likvidační.
To určitě ne. Sice už právně je možné vymáhat dodržování Nařízení a Úřad pro ochranu osobních údajů (dále ÚOOÚ) má právo provádět kontroly a udělovat pokuty, zatím ale žádné tvrdé důsledky nepozorujeme. Co pozorujeme (respektive co jste určitě všichni zaznamenali právě před 25. 5.), je velké množství organizací, které informují o změnách podmínek práce s osobními údaji, aby tato práce byla v souladu s Nařízením. Podobně se můžete setkat s obrovským nárůstem informačních zdrojů, které se vyjadřují k implementaci GDPR. Za ty nejlepší pro inspiraci lze obecně označit materiály na webu ÚOOÚ. Mezi tyto materiály se zařadila i příručka ke GDPR pro knihovny, která je dostupná na webu Národní knihovny.
Na to nejlépe odpoví právě odkázaná příručka. Důležité je ale, že implementace pravidel na konkrétní organizaci je velmi individuální, není tedy možné přinést univerzální návod, jen doporučení, nad čím a jak přemýšlet. Abychom knihovny dále podpořili, v průběhu léta bychom rádi obsah příručky ještě jednou zpracovali poněkud jinou formou, a to v e-kurzu. Ten bude obsahovat obecné moduly, se kterými by se měl seznámit každý, i moduly zaměřené na vybrané pracovní pozice v knihovně. I když kurz bude dostupný až v době, kdy by knihovna měla mít vše připravené, věříme, že přesto bude kurz zajímavý třeba pro nově nastupující knihovníky, ale i při dolaďování podmínek zpracování osobních údajů v knihovně.
Vlastně ne, nejde o žádnou revoluční změnu, spíše Nařízení konkretizuje podmínky, které bylo dobré dodržovat i dříve, aby osobní údaje byly zpracovávány co nejlépe. Pro začátek je dobré jasně určit, kdo v knihovně bude zodpovědný za řešení osobních údajů. Pověřený člověk by se měl vzdělávat v tomto tématu a definovat vhodné postupy, shromažďovat doklady dokumentující nastavení práce s osobními údaji v knihovně a radit ostatním zaměstnancům, jak pracovat v souladu s právní úpravou. Aby knihovna mohla přejít na udržování dlouhodobého souladu s právem k ochraně osobních údajů, je nutné si ověřit a případně revidovat současné postupy. To vyžaduje první analýzu, kdy si sepíšeme, s jakými údaji a jak v knihovně nakládáme (včetně toho, jestli pro to máme zákonem přijatelný důvod, jak dlouho jsou uloženy apod.). Když už víme, co děláme, pravděpodobně si uvědomíme, že ne vše je tak, jak by mělo (třeba že si občas některý zaměstnanec trošku zjednoduší práci). Určíme si tedy, jak by bylo ideální, aby práce s osobními údaji vypadala, a jak se to liší proti zjištěnému současnému stavu. Výsledná GAP analýza slouží jako základ k tomu, abychom nevhodně nastavené procesy revidovali. K tomu je potřeba znát i některé požadavky v Nařízení, které dříve nebyly nezbytné, např. právo na výmaz nebo přenositelnost údajů.
Ne, nastavení je potřeba udržovat. A při každé změně procesů (třeba přechodem na novou verzi knihovního systému) vždy znovu ověřit, že procesy budou nadále v souladu s právem. Dlouhodobě je nutné dodržovat bezpečnostní pravidla při práci s osobními údaji, mezi která patří například důsledná autentizace a autorizace (s osobními údaji pracuje jen ten, kdo to nezbytně potřebuje a po prokázání oprávnění například přihlášením do systému nebo odemknutím kartotéky). Aby bylo možné některá bezpečnostní pravidla využívat, musí na to být systémy (včetně toho knihovního) připraveny. Na knihovně je pak pohlídat, že využívá jen nástroje, které jsou takto připraveny (dokládá to třeba smlouva s provozovatelem systému). S bezpečnostními opatřeními by pak měli být zaměstnanci seznámeni, a to formálně - opatření musí být dokumentována nejen pro informování zaměstnanců, ale i pro případnou kontrolu. V Nařízení tedy sice můžeme najít nějaké novinky, ale spíše jde o zpřísnění (upřesnění) toho, co už bylo v zákoně č. 101/2000 Sb., o ochraně osobních údajů.
To také ne. Sankce jsou skutečně velké a Nařízení definuje výrazně přesněji, co všechno nejen knihovny musí jako správci osobních údajů dělat. Je nezbytné, aby se na to všechny knihovny co nejdříve připravily. A tento článek knihovnám rozhodně jako zdroj informací pro uvedení do souladu s právem nestačí. Měl by ale pomoci, aby si knihovny uvědomily, že musí něco dělat a je možné se připravit, má smysl to řešit. Využít je možné materiály určené cíleně pro knihovny. V tuto chvíli jim v tom nejlépe pomůže Ochrana osobních údajů - Příručka pro knihovny, případně další materiály na webu Národní knihovny, a v následujících měsících z ní vycházející e-kurz (o jeho spuštění budeme informovat přes e-konferenci Knihovna).
KOVÁŘOVÁ, Pavla. Co teď s GDPR?. Duha: Informace o knihách a knihovnách [online]. 2018, 32(2) [cit. 2025-01-28]. ISSN 1804-4255. Dostupné z: http://duha.mzk.cz/clanky/co-ted-s-gdpr
Duha vychází 4× ročně v elektronické i tištěné podobě. Tištěná čísla ve formátu PDF naleznete zde.
|
|
|
|
Copyright Duha © 2025, Žádný příspěvek ani jeho část nesmí být reprodukován bez souhlasu autora a bez oznámení redakci.
